На проходящей в Сан-Франциско конференции RSA специалисты Cybereason рассказали о своем эксперименте с ловушкой для взломщиков, который доказывает популярность ботов для выполнения простых задач. В рамках этого эксперимента автоматизированные программы проделали всю черновую работу — воспользовались уязвимостями и т. д., — после чего подключились киберпреступники и выкачали 3 Гбайт данных.

«Автоматизация эксплойтов и так была достаточно серьезной проблемой для служб безопасности, а если злоумышленники научат боты создавать инструменты обхода защиты, извлекать пароли, осуществлять разведку в сети, причем делать это за считаные секунды, эта техника станет еще более опасной», — говорится в отчете Cybereason.

Чтобы провести эксперимент, специалисты компании опубликовали на теневых форумах имена пользователей и пароли для RDP-доступа к трем серверам в тестовой сети, а затем начали ждать реакции взломщиков.

«Мы запустили этот проект, чтобы узнать, как поступят киберпреступники, когда получат доступ к важным сетям, как автоматизированные боты воспользуются этой средой и на каком этапе злоумышленники возьмут дело в свои руки», — рассказал в интервью Threatpost Росс Рустичи (Ross Rustici), старший директор по исследованиям в Cybereason.

Экспериментаторам удалось проследить за тем, как бот проник в сеть через протокол удаленного рабочего стола и приступил к эксплуатации сети, причем действовал очень быстро благодаря автоматизированным скриптам.

Бот проделал всю подготовительную работу — воспользовался известными уязвимостями, просканировал сеть и выгрузил учетные данные с машин с помощью вредоносного кода. Это позволило настоящим злоумышленникам без труда проникнуть в атакуемое окружение. Кроме того, программа создала несколько новых аккаунтов, чтобы обеспечить преступникам доступ на тот случай, если пользователи взломанных машин изменят свои пароли.

По данным Cybereason, бот проделал все это примерно за 15 секунд.

«Службам безопасности невероятно сложно справиться с эксплуатацией уязвимостей, которая происходит за считаные секунды. Автоматизация разведки и дальнейшего продвижения по сети влечет за собой еще более серьезные проблемы», — говорится в отчете Cybereason.

Через два дня после того, как бот завершил свою работу, в сеть проник настоящий злоумышленник. По словам Рустичи, исследователи узнали, что это человек, поскольку тот совершил вход в учетную запись, созданную ботом. Кроме того, взломщик открыл приложение пользовательского интерфейса и дал доступ функциям RDP, чего боты обычно не делают.

«Злоумышленнику уже расчистили путь к цели, поэтому он сразу же приступил к извлечению данных и похитил 3 Гбайт информации. Это были мусорные файлы, бесполезные для преступников, и поэтому украденные данные так и не появились в дарквебе», — говорят специалисты Cybereason. При этом Рустичи отмечает, что киберпреступник уже знал, что находится в сети, поэтому мог быстро похитить нужную информацию.

Категории: Главное, Уязвимости, Хакеры